電子商務(wù)環(huán)境下單點登錄系統(tǒng)的分析

于 雷 韓凱寧，2 高 萌

（1.山東科技大學(xué) 經(jīng)濟管理系，山東 泰安 271019；2.泰安市公共事業(yè)管理局，山東 泰安 271000）

1 傳統(tǒng)電子商務(wù)環(huán)境下登錄系統(tǒng)的不足

傳統(tǒng)的電子商務(wù)由于多種原因，登錄系統(tǒng)可能會具備以下的弊端：

（1）由于以往企業(yè)對信息系統(tǒng)的重視程度不夠，沒有充分得到企業(yè)管理層的支持，在電子商務(wù)的建設(shè)中，沒有進行良好的信息系統(tǒng)規(guī)劃，甚至，存在系統(tǒng)的建立與企業(yè)本身的中長期發(fā)展戰(zhàn)略相脫節(jié)。這直接導(dǎo)致在電子商務(wù)構(gòu)建設(shè)計過程中，缺乏整體和長期的考慮。

（2）企業(yè)的信息化建設(shè)基礎(chǔ)設(shè)施薄弱，由于各個部門發(fā)展速度和業(yè)務(wù)方向不同很容易造成企業(yè)沒有統(tǒng)一用戶管理信息系統(tǒng)，各個系統(tǒng)的建設(shè)難以統(tǒng)一考慮，系統(tǒng)整體的使用和運營相對困難。

（3）缺乏整體戰(zhàn)略角度的考慮，各個信息系統(tǒng)之間容易形成信息和應(yīng)用相對獨立，很容易形成各自不同權(quán)限、編碼和數(shù)據(jù)庫體系，導(dǎo)致的后果就是各個系統(tǒng)之間的信息分享和系統(tǒng)管理非常困難。而整個企業(yè)內(nèi)的信息和服務(wù)難以形成共享。

2 單點登錄系統(tǒng)需求分析

首先，系統(tǒng)在進行安全設(shè)計的時候沒有一個可以參照的標準，導(dǎo)致大部分系統(tǒng)在設(shè)計的時候沒有一個普遍公認的方法。這樣導(dǎo)致的直接結(jié)果就是：當(dāng)一個新的單點登錄系統(tǒng)建立后，雖然實現(xiàn)了安全的訪問控制認證，但是與原有的訪問控制認證體系幾乎完全不同，這樣就無形的加大了系統(tǒng)之間融合的難度。而且，隨著計算機的環(huán)境愈來愈復(fù)雜，系統(tǒng)的建立者和管理員往往對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，以及龐大的系統(tǒng)中所有的服務(wù)和配置缺乏足夠的認識。同時，通過信任原則建立起來的系統(tǒng)之間的子系統(tǒng)，由于數(shù)量和范圍不斷的增加，所受到的安全威脅也將是不斷增大的。如果沒有建立可靠的安全體系，來保障系統(tǒng)中每個子系統(tǒng)的安全，那么，就無法構(gòu)筑起一個安全的信息平臺。

無論采取何種手段，需要登錄到一個系統(tǒng)的最基本要求就是進行電子身份的認證。從登錄過程產(chǎn)生的最初開始，最傳統(tǒng)也是應(yīng)用范圍最廣的就是基于口令的認證，也就是填寫用戶名和密碼的方式，這樣的方式一直到今天仍然是最為廣泛的一種電子身份認證方式，這樣的方式很容易被剽竊或者猜測到，甚至很多人會將密碼和個人信息記錄在筆記本上，無形中加大了系統(tǒng)的不穩(wěn)定性。所以需要建立起一個不單單是根據(jù)口令密碼認證的登錄框架，來降低這種情況下對體系的安全所帶來的威脅。

最后，管理多系統(tǒng)的單點登錄信息的服務(wù)器，需要存儲大量的用戶信息，以及各個子系統(tǒng)的訪問規(guī)則。這樣種類繁多數(shù)量龐大的規(guī)則被建立起來，用來規(guī)定：每個相應(yīng)的用戶、能夠在哪些系統(tǒng)中進行怎樣權(quán)限的操作。因此，為了可以進行有序的分類，將用戶根據(jù)所屬系統(tǒng)、級別、權(quán)限等范圍進行了劃分。由于現(xiàn)實環(huán)境中對部門和組別的分類有時候比較模糊，甚至用戶分屬于不同的部門而且其權(quán)限也會經(jīng)常發(fā)生變化，那么這樣的結(jié)構(gòu)變化，結(jié)合復(fù)雜的計算機環(huán)境使得整個系統(tǒng)的管理也十分復(fù)雜和不確定性，直接導(dǎo)致的結(jié)果就是經(jīng)常出現(xiàn)錯誤。

3 單點登錄的一般模型

首先，簡單介紹下單點登錄的模型，它一般由三部分構(gòu)成：身份提供者；服務(wù)提供者和用戶。

（1）所謂的身份提供者是指：對個體用戶進行身份驗證的服務(wù)提供者；

（2）服務(wù)提供者是指：為用戶進行應(yīng)用服務(wù)的具體應(yīng)用服務(wù)提供者；

（3）這里的用戶指的是：通過瀏覽器來使用應(yīng)用服務(wù)的個體。

其次介紹下單點登錄的工作原理，如下：首先，用戶在身份提供者那里注冊身份信息，進行單點登錄的時候，在身份提供者處登錄進行身份驗證，由身份提供者，為用戶標記登錄信息。當(dāng)訪問其他的服務(wù)提供者時，被訪問的服務(wù)提供者首先直接與身份提供者進行交互，確定該用戶是否已進行單點登錄，從而確定允許該用戶來訪問自己提供的服務(wù)。

當(dāng)一個用戶通過瀏覽器，來訪問一個服務(wù)提供者時，若該服務(wù)提供者需要驗證用戶的身份，就把該用戶的瀏覽器重定向到登錄服務(wù)器。登錄服務(wù)器通過SSL連接為用戶提供一個登錄頁面，用戶進行登錄，用戶登錄服務(wù)器后，被重定向回服務(wù)提供者，此時認證信息被包含在重定向消息中，服務(wù)提供者檢驗認證信息的真實性后，即可認為該用戶成功登錄。

4 單點登錄實現(xiàn)企業(yè)應(yīng)用系統(tǒng)的整合

單點登錄系統(tǒng)平臺主要由系統(tǒng)平臺管理模塊，應(yīng)用系統(tǒng)代理模塊和數(shù)據(jù)庫三部分組成。

4.1 管理模塊

單點登錄系統(tǒng)平臺中的管理模塊，主要用來實現(xiàn)各種服務(wù)。包括會話管理服務(wù)，授權(quán)服務(wù)，日志審計服務(wù)，身份驗證服務(wù)。

4.2 數(shù)據(jù)庫模塊

單點登錄系統(tǒng)的數(shù)據(jù)庫模塊，存儲的是單點登錄時的各種數(shù)據(jù)。主要包括：用戶目錄數(shù)據(jù)庫，登錄日志數(shù)據(jù)庫等。

用戶目錄數(shù)據(jù)庫體系，使用統(tǒng)一的用戶目錄數(shù)據(jù)庫，進行集中化的管理。所有應(yīng)用系統(tǒng)進行身份驗證時都運用這個集中的數(shù)據(jù)庫。登錄日志數(shù)據(jù)庫系統(tǒng)平臺，能夠?qū)τ脩舻纳矸蒡炞C行為，進行日志記錄。

4.3 應(yīng)用系統(tǒng)代理模塊

在開發(fā)新的應(yīng)用系統(tǒng)時，開發(fā)者可以直接使用單點登錄系統(tǒng)的認證服務(wù)，在一定程度上簡化了開發(fā)的流程。單點登錄系統(tǒng)，通過提供一個統(tǒng)一的認證平臺，來實現(xiàn)單點登錄，所以這樣的話，應(yīng)用系統(tǒng)也不需要再去開發(fā)用戶認證的程序了。

5 總結(jié)

本文針對電子商務(wù)環(huán)境下企業(yè)信息系統(tǒng)的登錄系統(tǒng)應(yīng)用進行了一定深度的研究，初步構(gòu)建了，適用于大多數(shù)電子商務(wù)環(huán)境下，企業(yè)信息系統(tǒng)登錄系統(tǒng)的設(shè)計思想。真正實現(xiàn)一個安全性高，實用性強并且穩(wěn)定的單點登錄系統(tǒng)是一個繁雜的工作。用戶與認證中心之間的安全，易于操作和實現(xiàn)的認證，用戶密鑰的存儲，以及單點登錄以后的注銷，都是以后需要解決的問題。

［1］田向.職業(yè)學(xué)院校園網(wǎng)用戶單點登錄系統(tǒng)解決方案[J].職業(yè)，2011(18).

［2］杜娟,何正國.多系統(tǒng)用戶單點登錄系統(tǒng)解決方案[J].科技資訊，2006(25).

［3］楊麗波,朱迅,賈建強.基于LDAP及Web Services技術(shù)的企業(yè)級單點登錄系統(tǒng)的設(shè)計[J].軟件導(dǎo)刊，2010(09).

［4］程念勝,張宜生,李德群.一種基于令牌的單點登錄認證服務(wù)[J].計算機應(yīng)用，2008(S2).

［5］張烽.電子政務(wù)網(wǎng)絡(luò)中統(tǒng)一身份認證研究[J].價值工程，2010(20).